14:19, 10 июля 2018 года

Кибермошенники совершенствуют методы кражи денег с банковских карт

Сегодня уже почти все знают мошеннические сценарии «Звонок с радиостанции: вы выиграли приз!» или «Мама, папа, я сбил человека, срочно нужны деньги». Чем чаще люди следуют простым правилам безопасного телефонного общения, тем сложнее живётся мошенникам. Однако развитие мобильных и интернет-технологий порождает новые способы «отъема денег у населения», и даже внимательный человек может оказаться обманутым. Чаще всего это связано с передачей мошенникам данных своей банковской карты.

По данным Банка России, объем несанкционированных операций с платежными картами россиян в 2017 году сократился на 11% – до 960 миллионов рублей. К примеру, годом ранее злоумышленники украли с карт наших соотечественников 1,08 миллиарда, а в 2015 году и вовсе 1,15 миллиарда рублей. При этом средняя сумма хищения средств с платежной карты сегодня сократилась на 17,2% по сравнению с прошлым годом и составляет 3 тысячи рублей. И хотя явно виден позитивный тренд, рост финансовой грамотности и умения людей противостоять мошенникам, следует быть готовым к самым неожиданным и высокотехнологичным преступным сценариям.

«Здравствуйте, я ваш банк!»

Владимир Л. с удивлением смотрел на sms от мобильного банка: якобы он совершил крупную онлайн-покупку и требуется ввести код подтверждения. В этот момент на телефон пришло еще одно sms, которое пугающе сообщало: «Уважаемый клиент! С вашим счетом пытаются совершить мошеннические действия. Во избежание утери средств требуется позвонить по номеру ххх-хх-хх!». Владимир внимательно посмотрел на номер отправителя. Да, определённо был указан настоящий номер контактного центра банка! Уже не сомневаясь в реальности угрозы, Владимир позвонил, и его соединили со «специалистом службы безопасности», который подсказал, что нужно делать. «Срочно отправьте ответное sms, в котором укажите пришедший вам платёжный пароль, пробел и словосочетание ОТМЕНА ПЕРЕВОДА», — сурово инструктировал «специалист». Владимир последовал совету, и… спустя пару минут внушительная сумма с его карты бесследно исчезла. Вместе со «специалистом службы безопасности».

***

Роман Т. разместил в интернете объявление о продаже фотоаппарата, и порадовался, что первый звонок от потенциального клиента раздался уже спустя час. Покупатель жил в другом городе, пообещал перевести деньги за технику и для надежности попросил фото паспорта и банковской карты: хочу, мол, удостовериться, что вы реальный человек. Роман согласился, отправил неизвестному покупателю желаемое и вскоре получил сообщение «Я перевел вам деньги через онлайн-приложение!».

И вот тут-то началось самое интересное. Роману позвонили с номера одного из крупнейших коммерческих банков страны. Вежливый голос сообщил, что их клиент перевел онлайн некую сумму, но поскольку он является VIP-клиентом, получатель средств должен себя идентифицировать, то есть продиктовать данные своей банковской карты: ФИО, срок действия, трехзначный код на обороте карты, а также одноразовый пароль. Роман не сомневался, что общается с банковским работником, ведь телефонный номер говорил за себя! Он сообщил все требуемые данные, но после этой «идентификации» лишился всех средств на счете, к которому привязана его банковская карта.

***

Татьяне К. позвонили с многоканального номера call-центра банка, который был записан в памяти ее телефона, и поинтересовались, является ли держатель карты участником бонусной программы? Когда Татьяна подтвердила это, учтивый «сотрудник» банка предложил ей обменять накопившиеся бонусы на рубли. «Вам необходимо лишь уточнить данные карты, куда мы моментально зачислим деньги» — увещевал голос. По счастью, девушка сразу заподозрила неладное, справедливо сочла, что есть большой риск отправить свои деньги мошенникам, и прекратила разговор.

Обратите внимание, что все эти три невыдуманные истории объединяет одна деталь: держатели карт получали звонки с реальных номеров банковских call-центров и горячих линий. Оказывается, технически сделать это совсем не трудно.

У сотового оператора приобретается виртуальная АТС, на неё оформляется временная sim-карта (личное присутствие для этого не требуется), расходы невелики – всего-то примерно 3 тысячи в месяц. Затем через веб-интерфейс аферист меняет номер своей станции на реально существующий номер банка, и под видом его сотрудников звонит клиентам, выясняет данные карт и ворует с них деньги.

Ущерб от этой новой мошеннической схемы уже превысил 30 миллионов рублей, пострадали тысячи людей по всей стране. По информации специалистов Банка России, ведущие сотовые операторы страны знают об уязвимости «облачных» АТС и принимают меры для защиты своих абонентов от мошеннических действий.

Помните о возможности подмены номеров! Даже если вы видите номер, сохраненный в памяти вашего телефона, знайте: сотрудники кредитных организаций никогда не звонят и не говорят клиентам, что действие их карты приостановлено, что для ее разблокировки необходимо провести какие-то действия, не выясняют по телефону конфиденциальную информацию о клиенте и платёжные пароли.

Уточняйте информацию о собеседнике! Спросите фамилию звонящего вам сотрудника, перезвоните в отделение банка, где была выдана ваша платежная карта, уточните — работает ли там такой сотрудник и действительно ли ваша карта заблокирована?

Знайте, как ваш банк работает с клиентами! Банки не рассылают sms о блокировке карты и никогда не запрашивают пароли для отмены операций. Банки не меняют бонусы на рубли, ведь бонусы можно использовать только при покупке товаров в магазинах.

«Нет времени объяснять, высылайте деньги!»

Злоумышленники не только умело пользуются современными технологиями, но и мастерски манипулируют собеседником. Социальная инженерия – это наука о том, как «взломать» человека и, подергав за нужные ниточки, получить от него желаемое. Это методы, направленные на рефлексы и шаблонное поведение, они играют с эмоциями и стремятся подавить внимание. «Срочно», «быстро», «немедленно», «потом объясню», «нужно быстрее» – частые слова и выражения из лексикона мошенника. Ему важно застать вас врасплох, не дать обдумать ситуацию, не позволить вам засомневаться.

Такими приемами мошенники пользуются не только в живом телефонном общении, но и в социальных сетях, по электронной почте или в других видах онлайн-коммуникации. Рассмотрим наиболее яркие примеры.

Фишинг (англ. phishing, от fishing – рыбная ловля, выуживание). Цель – получить доступ к логинам, паролям, данным карт. Вы получаете в sms или по электронной почте сообщение якобы от банка или платежной системы, подделанное под официальное. В тексте есть требование проверки определенной информации или совершения определенных действий. Часто в таких письмах есть гиперссылка, ведущая на фальшивый сайт, полностью копирующий подлинный, где вам предлагается ввести данные карты для приобретения, к примеру, билетов на матчи Чемпионата мира по футболу. В 2018 году при участии Банка России остановлена работа 1104 фишинговых сайтов.

Защита от фишинг-атаки заключается в том, чтобы не открывать письма, пришедшие с незнакомых и сомнительных адресов, не переходить по ссылкам в письмах или sms, какими бы заманчивыми они ни были: билеты на матчи, на спектакли со столичными звездами и т.п. Кроме того, внимательно проверяйте адреса сайтов: имена сайтов-дублеров могут отличаться всего на одну букву.

Вишинг (англ. vishing – voice fishing) – телефонный фишинг. Используется система предварительно записанных голосовых сообщений с целью воссоздать «официальные звонки» от банка. Вы получаете запрос (чаще всего по e-mail или sms) связаться с банком и подтвердить или обновить какую-либо информацию. Далее предварительно записанные голосовые сообщения руководят вами, чтобы выведать нужные данные. Например, это может быть серия команд: «Нажмите единицу, чтобы сменить пароль. Нажмите двойку, чтобы получить ответ оператора. Для соединения с оператором введите код безопасности вашей карты». Защита от вишинг-атаки также ясна: никогда не вводите данные своих платежных карт и другие идентификационные данные в голосовых меню.

Претекстинг (англ. pretexting – выдача себя за другого) – атака, в которой злоумышленник представляется другим человеком и по заранее подготовленному сценарию выуживает данные. Так разыгрываются спектакли по известному уже сценарию «Ваш родственник сбил человека/попался с наркотиками/и т.п.». Теперь в эти «ролевые игры» включились и охотники за данными банковских карт. Один из видов сетевого претекстинга: кибермошенник копирует профиль ваших знакомых или родственников в социальной сети, и пишет от их лица письмо, разыгрывая трагическую ситуацию и пытаясь выведать конфиденциальную информацию. В подобных случаях не паникуйте, какой бы ужасной ни казалась ситуация. Задавайте собеседникам больше вопросов. Личные вопросы могут поставить мошенников в тупик, и даже мастерский сценарий может дать сбой.

«Да, я попал впросак! Да, я попал в беду!»

Если вы все-таки стали жертвой кибермошенников – не отчаивайтесь. Незамедлительно сообщите в банк о мошенничестве, заблокируйте карту. Номер телефона обычно указан на обороте банковской карты или на официальном сайте вашего банка.

Также поспешите в банк и запросите в отделении банка выписку по счету и напишите заявление о несогласии с проведенной операцией. Не забудьте оставить у себя экземпляр заявления с отметкой банка о приеме. Далее обратитесь в правоохранительные органы с заявлением о хищении.

Согласно закону, банк может рассматривать ваше заявление не более 30 дней со дня получения, в случае международных операций – не более 60 дней. Банк должен проинформировать вас способом, который предусмотрен в договоре о выпуске и обслуживании карты. По вашему требованию банк обязан дать вам письменный ответ.

Отдел экономики «СП», при содействии пресс-службы Отделения Ставрополь Южного ГУ Банка России
«Коктейль «кибермошенник»: технологии + манипуляция»
Газета «Ставропольская правда»
18 июля 2018 года